Adopción del RGPD Utilizando ® COBIT 5
Resumen Este artículo técnico aborda los elementos clave del Reglamento General de Protección de Datos (RGPD), la importancia del gobierno de la TI de la Empresa (GEIT) y el papel de COBIT ® 5 en el establecimiento de un marco de gobierno, las conexiones entre COBIT 5 y los requisitos de cumplimiento del RGPD, así como consejos y enseñanzas clave para los esfuerzos de implementación del RGPD utilizando COBIT 5.
Introducción – El tiempo se agota para el RGPD El 25 de mayo de 2018, fecha límite para el cumplimiento con el Reglamento General de Protección de Datos (RGPD), se acerca rápidamente; sin embargo, muchas compañías multinacionales todavía están atrasadas en sus preparativos. Aprobada por el Parlamento Europeo y el Consejo Europeo en abril de 2016, la reforma de Protección de Datos de la UE sustituye a la Directiva de Protección de Datos, y es un reglamento general que obliga a las organizaciones a cumplir con requisitos muy estrictos en materia de protección de datos personales de los ciudadanos de la UE. Por primera vez, este requisito también afecta a las compañías con sede fuera de Europa que hacen negocios en Europa. Este cumplimiento afectará a los equipos de seguridad y privacidad que manejan información personalmente identificable (PII), incluyendo información básica de identidad; direcciones (incluyendo direcciones de internet); e información médica, biométrica, étnica, política o sexual. Es un desarrollo importante que las empresas deben abordar. ¿Por qué el RGPD es diferente? Los requisitos para proteger la información personal no son nuevos, pero han crecido significativamente con la explosión de la computación y el almacenamiento en la nube. La nube, la seguridad y el cumplimiento son las principales áreas de interés dentro del RGPD. Desde una perspectiva normativa, este tipo de implementación no es nada nuevo. Hasta la fecha, el mundo ha visto las directivas de privacidad de la UE, la Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA) de EE.UU., el Puerto Seguro, la Ley Gramm-LeachBliley (GLBA) de EE.UU. EE.UU.,, la Ley Patriota de EE.UU. EE.UU.,, y muchas otras.
En los últimos años, las autoridades de protección de datos de la UE se han vuelto mucho más activas a raíz de algunos acontecimientos importantes relacionados con la privacidad. El RGPD es mucho más agresivo que los requisitos anteriores, con consecuencias más duras por quiebras de seguridad. Sin embargo, el lenguaje del RGPD deja espacio para la interpretación: Utiliza el término "razonable" en su definición del nivel de protección requerido con respecto a los datos personales, pero no define qué significa "razonable" en realidad. Esto ofrece al órgano rector del RGPD un amplio margen de maniobra a la hora de evaluar las multas por incumplimiento. En resumidas cuentas: no importa dónde se encuentre una empresa. Si la empresa aloja información privada sobre un ciudadano de la UE, es responsable de la protección de dichos datos. Esto tendrá un efecto drástico en la forma en que las empresas mantienen, almacenan y utilizan los datos de clientes, empleados, proveedores o cualquier otra persona. Está obligando a muchas empresas de fuera de la UE a replantearse su estrategia en el mercado europeo, por los siguientes motivos: cualquier compañía que almacene o procese información personal de ciudadanos de la UE debe cumplir con estos requisitos. Entre los criterios específicos que desencadenan el cumplimiento se incluyen los siguientes: 1) La presencia física de una empresa en la UE, o 2) El tratamiento de datos personales de residentes de la UE por parte de una empresa, aunque ésta no tenga presencia física en la UE.
Adopción del RGPD Utilizando COBIT ® 5 // 2
Elementos clave del RGPD La legislación del RGPD tiene numerosas facetas, y muchas organizaciones al inicio podrían sentirse abrumadas con los requisitos. Sin embargo, una vez que se desglosa en sus elementos básicos, es posible ver los bloques constitutivos que finalmente formarán el plan general del proyecto. El RGPD bosqueja los principios clave relacionados con el tratamiento de datos personales. Éstos se pueden considerar como el nivel más alto en la taxonomía de los requisitos. Pueden desglosarse y correlacionarse con las prácticas actuales de la empresa para paliar el impacto de la magnitud de la legislación. Estos son los principios1 clave del RGPD que se aplican al tratamiento de datos personales: Licitud, lealtad y transparencia. Los datos personales se deben tratar de forma lícita, leal y transparente en relación con el interesado.
•
adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan. •
Exactitud. Los datos personales deben ser exactos, y si fuera
necesario, mantenerse actualizados; deben adoptarse todas las medidas razonables para garantizar que los datos personales inexactos, con respecto a los fines para los que se estén tratando, se eliminen o rectifiquen sin demora. •
Limitación de almacenamiento. Los datos personales se deben
mantener en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que los datos personales se estén tratando.
•
•
Minimización de datos. Los datos personales deben ser
•
Integridad y confidencialidad. Los datos personales se deben
tratar de manera que se les garantice una seguridad adecuada, incluyendo la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, utilizando las medidas técnicas u organizativas adecuadas.
Limitación de la finalidad. Los datos personales se deben recoger
para fines determinados, explícitos y legítimos, y no tratarse ulteriormente de manera incompatible con dichos fines. •
Responsabilidad. El responsable de tratamiento será responsable
del cumplimiento del RGPD y deberá poder demostrarlo.
Gobierno de las TI de la Empresa y principios COBIT Para las empresas que ya cuentan con una estructura de gobierno sólida, la batalla del cumplimiento podría estar medio ganada. Para aquellas sin una estructura formal establecida, el RGPD acaba de convertirse en uno de los principales impulsores para su adopción. Los marcos de gobierno son buenas prácticas diseñadas para ser adaptables al entorno específico en el que operan y, generalmente, resisten la prueba del tiempo; es decir, son aplicables independientemente del entorno externo cambiante y de los cambios en las tecnologías. Los buenos marcos de gobierno definen un lenguaje común, proporcionan un enfoque empresarial preciso y ayudan a satisfacer los requisitos de cumplimiento y normativos al proporcionar métodos repetibles. Y lo más importante, los marcos de gobierno se enfocan en proporcionar valor a las partes interesadas de la empresa al garantizar la entrega de beneficios, mientras se optimizan los riesgos y los recursos. A pesar de que actualmente existen innumerables marcos en el mercado aplicables a la asistencia con el cumplimiento del RGPD, uno de ellos destaca como una herramienta apropiada y útil: COBIT.
1
Aunque hoy en día el marco se conoce simplemente como COBIT, sus orígenes se basan en la confidencialidad, integridad, disponibilidad y aseguramiento de la información, de ahí el acrónimo original de Objetivos de Control para la Información y Tecnología relacionada. La versión más reciente, COBIT 5, se considera el único marco empresarial que se enfoca en el gobierno y la gestión de las TI empresariales empresariale s (GEIT). Este modelo holístico, basado en principios, es un instrumento idóneo para ayudar en la adopción de buenas prácticas para soportar la meta empresarial de creación de valor para sus partes interesadas. Su fortaleza es asegurar el logro de beneficios, la optimización de riesgos y la optimización de recursos, así como proporcionar un marco de gran alcance para gobernar y gestionar los esfuerzos hacia el cumplimiento con el RGPD. La figura 1 ilustra los principios de COBIT 5 y su aplicabilidad de alto nivel al éxito de la adopción del RGPD. Una buena característica de COBIT 5 es que se puede aprovechar como un marco para gestionar marcos. Esto significa que las
Artículo 5, Reglamento General de Protección Protección de Datos—Principios relativos al tratamiento,http://www http://www.privacy-regulation.eu/es/ .privacy-regulation.eu/es/5.htm 5.htm
Adopción del RGPD Utilizando COBIT ® 5 // 3
organizaciones pueden obtener una mejor visibilidad y control de los diversos marcos, estándares y mejores prácticas que utilizan al organizarlos bajo un modelo centralizado. Aprovechar COBIT para lograr un cumplimiento cump limiento no es nada nuevo. De hecho, muchas organizaciones utilizaron con éxito el marco para ayudar en la adopción de prácticas en apoyo a la legislación Sarbanes-Oxley de los EE.UU., por lo que también es adecuado para ayudar con el RGPD.
FIGURA 1: PRINCIPIOS DE COBIT 5
SATISFACCIÓN SATISF ACCIÓN DE LAS NECESIDADES DE LAS PARTES INTERESADAS
Diferentes partes interesadas tienen diferentes requisitos de aseguramiento, y la cascada de metas de COBIT valida la alineación de las necesidades de las partes interesadas con las prácticas y los procesos específicos.
COBERTURA INTEGRAL DE LA EMPRESA
COBIT cubre todas las funciones y los procesos dentro de la empresa, y trata la información y las tecnologías relacionadas como activos que necesitan tratarse como cualquier otro activo por todos los miembros de la empresa.
APLICACIÓN DE UN MARCO INTEGRADO ÚNICO
COBIT se alinea con otros estándares y marcos de referencia relevantes a un nivel alto y, por lo tanto, puede servir como el marco de referencia global para la gestión y el gobierno de las TI de empresa.
Habilitación de un Enfoque Holístico En el núcleo del marco se encuentran los catalizadores. En la figura 2 se 2 se ilustran catalizadores que son "factores que, individual y colectivamente, influyen sobre si algo funcionará o no". 2 Los catalizadores se pueden considerar como los ingredientes de un enfoque holístico para gobernar y administrar la información en relación con los requisitos del RGPD. Las siguientes categorías de catalizadores proporcionan una visión completa del enfoque de la empresa para adoptar las prácticas necesarias para satisfacer las necesidades de conformidad y desempeño: Principios, políticas y marcos. Los comportamientos deseados se traducen en una guía práctica y en los marcos flexibles que gestionan las conexiones y las modificaciones a esos principios y políticas. Las buenas prácticas incluyen el alcance y la validez, las consecuencias del incumplimiento, los medios para manejar las excepciones y las formas en que el cumplimiento se va a monitorizar y a medir. •
•
Procesos. Un proceso es un conjunto organizado de prácticas y
actividades para lograr ciertos objetivos y producir un conjunto de productos en aras de las metas generales de la empresa. El modelo de referencia del proceso COBIT identifica 37 procesos en cinco dominios (un dominio de gobierno y cuatro dominios de gestión). Afortunadamente, hay una guía de catalizadores, COBIT 5: Procesos Catalizadores , que es un magnifico recurso. La aplicabilidad al cumplimiento con el RGPD es significativa. Para cada uno de los procesos, COBIT identifica lo siguiente:
HABILITACIÓN DE UN ENFOQUE HOLÍSTICO
DIFERENCIAR EL GOBIERNO DE LA GESTIÓN
COBIT define un conjunto de componentes interactivos, o catalizadores, para soportar la implementación de un sistema integral de gobierno y gestión.
COBIT hace una clara distinción entre gobierno y gestión, lo cual es clave para garantizar que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar los objetivos empresariales equilibrados y acordados que se pretenden lograr.
ISACA, COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de Empresa , figura 2, EE.UU., 2012 FUENTE:
2 ISACA, COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de Empresa, página 27, EE.UU., 2012
Adopción del RGPD Utilizando COBIT ® 5 // 4
FIGURA 2: CATALIZADORES DE COBIT 5
Procesos
Cultura, Ética y Comportamiento
Estructuras Organizativas
Principios, Políticas y Marcos
Información
FUENTE:
•
•
•
•
•
•
•
•
Servicios, Infraestructuras y Aplicaciones
Personas, Habilidades y Competencias
ISACA, COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de Empresa, figura 12, EE.UU., 2012
Descripción y finalidad Metas relacionados con las TI y métricas asociadas Metas del proceso y métricas asociadas Prácticas de gobierno y gestión (la guía necesaria para alcanzar las metas del proceso) Las actividades que apoyan cada práctica (la guía para lograr las prácticas de gobierno y gestión) Matriz de asignación de responsabilidades Responsable, Encargado, Consultado e Informado (RACI) Entradas y salidas a nivel práctico Orientación relacionada (otros marcos y estándares industriales que se pueden consultar para obtener información más detallada)
Finalmente, las buenas prácticas de proceso incluyen el modelo de referencia de procesos de COBIT 5, completado con prácticas, actividades y referencias de la industria específicas para lograr la finalidad del tratamiento. Los 37 procesos que conforman el modelo de referencia del proceso se indican en la figura 3. 3. Esta publicación hará referencia a algunos procesos específicos en secciones posteriores. Estructuras organizativas. Este catalizador con frecuencia es el más fácil de identificar, pero el más difícil de documentar, y supone mucho más que la mera creación de organigramas. Incluye buenas prácticas, tales como entidades clave para la toma de decisiones, alcance del control, nivel/delegación de autoridad, principios operacionales y procedimientos de escalamiento en una empresa.
•
Cultura, ética y comportamiento. Con frecuencia subestimado
como un factor de éxito en las actividades de gobierno y gestión, este catalizador se refiere al conjunto de comportamientos individuales y colectivos en una empresa que apoyan la meta general de proporcionar valor. Las buenas prácticas incluyen comunicación, concienciación del comportamiento deseado, incentivos, y reglas y normas. •
Información. Este catalizador se puede considerar el alma no
solo de COBIT, sino también del RGPD. Embebida en cualquier organización, incluye toda la información producida y utilizada por la empresa. La naturaleza de la información se puede comprender mejor definiendo y aclarando sus propiedades, incluyendo toda la información generada y tratada por los procesos empresariales o de TI a lo largo del ciclo de vida de sus datos, desde la información hasta el conocimiento y el valor. Se puede encontrar una descripción más detallada del ciclo de vida y los atributos clave de la información en COBIT 5: Información Catalizadora. •
Servicios, infraestructuras y aplicaciones. Este catalizador incluye
toda la tecnología que proporciona el tratamiento de información y servicios. Las buenas prácticas incluyen reutilización, compra vs. construcción, simplicidad, agilidad, apertura y, por supuesto, marcos industriales adicionales para la gestión de servicios, tales como la Biblioteca de Infraestructura de Tecnologías de Información (ITIL®).
•
•
Personas, habilidades y competencias. Se precisan personas
para la conclusión exitosa de las actividades y la toma de Adopción del RGPD Utilizando COBIT ® 5 // 5
FIGURA 3: MODELO DE REFERENCIA DE PROCESOS DE COBIT 5 GOBIERNO Evaluar, Orientar y Supervisar EDM01 Asegurar el Establecimiento y el Mantenimiento del Marco de Gobierno
GESTIÓN Alinear, Planificar y Organizar APO01 Gestionar el
Construir, Adquirir e Implementar BAI01
Marco de Gestión de TI
APO02 Gestionar la
BAI02
Estrategia
EDM02 Asegurar la Entrega de Beneficios
EDM03 Asegurar la Optimización del Riesgo
Gestionar los Programas y Proyectos
Entregar, dar Servicio y Soporte DSS01
Gestionar las Operaciones
DSS02
Gestionar las Peticiones y los Incidentes del Servicio
Gestionar la Definición de Requisitos
Arquitectura Empresarial
BAI03
APO04 Gestionar la BAI04
EDM04 Asegurar la
EDM05 Asegurar la Transparencia hacia las Partes Interesadas
MEA01
Supervisar, Evaluar y Valorar Rendimiento y Conformidad
MEA02
Supervisar, Evaluar y Valorar el Sistema de Control Interno
MEA03
Supervisar, Evaluar y Valorar el Cumplimiento con los Requisitos Externos
APO03 Gestionar la Gestionar la Identificación y la Construcción de Soluciones
DSS03
APO05 Gestionar el Portafolio
APO06 Gestionar el
BAI05
Presupuesto y los Costes
APO07 Gestionar los Recursos Humanos
APO08 Gestionar las
Gestionar la Continuidad
Gestionar la Disponibilidad y la Capacidad
DSS05
Gestionar los Servicios de Seguridad
Gestionar la Introducción de Cambios Organizativos
DSS06
Gestionar los Controles de los Procesos de Negocio
BAI06
Gestionar los Cambios
BAI07
Gestionar la Aceptación del Cambio y de la Transición
BAI08
Gestionar el Conocimiento
BAI09
Gestionar los Activos
BAI10
Gestionar la Configuración
Relaciones
Gestionar los Problemas
DSS04
Innovación Optimización de los Recursos
Supervisar, Evaluar y Valorar
APO09 Gestionar los Acuerdos de Servicio
APO10 Gestionar los Proveedores
APO11 Gestionar la Calidad
APO12 Gestionar el Riesgo
APO13 Gestionar la Seguridad
FUENTE:
ISACA, COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de Empresa, figura 16, EE.UU., 2012
Adopción del RGPD Utilizando COBIT ® 5 // 6
decisiones; por lo tanto, definir los roles y competencias correctos es crucial para el éxito empresarial. Las buenas prácticas para este catalizador incluyen la determinación de los requisitos de habilidades objetivo para cada rol, que son diferentes para cada nivel de habilidad y categoría. Para cada catalizador, COBIT 5 identifica cuatro dimensiones comunes que aportan profundidad. Éstas incluyen: Partes interesadas. Cada catalizador tiene partes interesadas que desempeñan un rol o que tienen un interés en el catalizador. Hay partes interesadas internas y externas. •
•
Metas. Cada catalizador tiene diversas metas, y el logro de
estas metas contribuye a la meta general de proporcionar valor. Estas metas se clasifican como intrínsecas, contextuales y de accesibilidad/seguridad. •
Ciclo de vida. Cada catalizador tiene un ciclo de vida que
abarca desde el inicio hasta la eliminación. Las fases incluyen la planificación, el diseño, el desarrollo / la adquisición / la implementación, el uso / la operación, la evaluación / la monitorización y la actualización / la eliminación. •
Buenas prácticas. Cada catalizador puede tener definidas algunas
buenas prácticas que apoyan el logro de las metas del catalizador. Estos son ejemplos o sugerencias sobre la mejor forma de implementar el catalizador. Pueden ser bien ejemplos específicos de COBIT, o bien guías de otros estándares y marcos. Como es evidente, aprovechar los catalizadores es una forma estupenda no solo de gobernar y gestionar eficazmente las TI y la información de la empresa, sino también de proporcionar un enfoque razonable para determinar qué áreas considerar. Es importante señalar que cada uno de estos catalizadores, aunque se describan como temas separados, tiene un impacto importante en todos los demás catalizadores. Por lo tanto, la creación de un marco de gobierno equilibrado y detallado significa reconocer la interacción entre estos ingredientes. A continuación, se presenta una descripción descripc ión más detallada de cada catalizador y de la forma en que puede ayudar a organizar una campaña de cumplimiento del RGPD. Se incluye una breve definición de estos catalizadores. Se pueden encontrar más detalles sobre los catalizadores en COBIT 5: Un Marco de Negocio para el Control y la Gestión de las TI de la Empresa. Se indican todas las referencias adicionales.
Cómo COBIT puede ayudar con el cumplimiento del RGPD El RGPD contiene casi 100 artículos que definen los requisitos y los derechos otorgados a los ciudadanos de la UE, la estructura de cumplimiento y las sanciones por incumplimiento. Por supuesto, cada organización necesita revisar el RGPD y determinar sus próximos pasos específicos. En las siguientes secciones se bosquejan algunas de las áreas clave de preocupación y el enfoque COBIT relevante.
Definición de Datos de Alto Riesgo y Evaluaciones de Impacto Las compañías deben realizar evaluaciones de impacto de la protección de datos (EIPDs) cuando utilicen las nuevas tecnologías para cualquier dato que se considere de alto riesgo para los derechos y libertades de los ciudadanos de la UE. Estas evaluaciones también deben describir cómo la compañía está abordando el riesgo a través de actividades sistemáticas y extensas de tratamiento o monitorización. Esto es similar a una evaluación de riesgos, que evalúa el riesgo y las medidas establecidas para abordarlo. Estos son los principales procesos COBIT que se deben considerar: EDM02 Asegurar la Entrega de Beneficios
•
APO133 Gestionar la Seguridad APO1
•
DSS05 Gestionar los Servicios de Seguridad
•
DSS06 Gestionar los Controles de los Procesos de Negocio
Protección, Tratamiento Tratamiento y Almacenamiento de Datos personales Para cada persona, todos los datos personales deben tratarse de forma transparente y únicamente con la finalidad especificada. Las compañías deben proporcionar un nivel "razonable" de protección de los datos y la privacidad. Los datos se deben tratar de forma segura para protegerlos contra accesos no autorizados, pérdidas o daños. Esto debe hacerse utilizando las medidas técnicas/organizacionales apropiadas. El RGPD no define lo que significa eso, pero es seguro suponer que, si los datos se pierden o son robados, la empresa está incumpliendo claramente la normativa. Estos son los principales procesos COBIT que se deben considerar: EDM05 Asegurar la Transparencia hacia las Partes Interesadas •
•
•
EDM03 Asegurar la Optimización del Riesgo
•
APO111 Gestionar la Calidad APO1
•
APO122 Gestionar el Riesgo APO1
•
APO01 Gestionar el Marco de Gestión de TI
•
APO02 Gestionar la Estrategia
•
APO03 Gestionar la Arquitectura Empresarial Empres arial
•
APO10 Gestionar los Proveedores Adopción del RGPD Utilizando COBIT ® 5 // 7
•
BAI01 Gestionar los Programas y Proyectos
•
BAI02 Gestionar la Definición de los Requisitos
•
BAI03 Gestionar la Identificación y la Construcción de Soluciones
•
BAI04 Gestionar la Disponibilidad y la Capacidad
•
BAI06 Gestionar los Cambios
•
BAI07 Gestionar la aceptación del Cambio y de la Transición
•
BAI08 Gestionar el Conocimiento
•
BAI09 Gestionar los Activos
•
BAI10 Gestionar la Configuración
Consentimiento, Portabilidad, Derecho de Acceso y Derecho al Olvido Las personas deben dar su consentimiento respecto a los datos personales que se vayan a almacenar, y tienen derecho a saber, previa solicitud, qué datos personales está utilizando una empresa y cómo se están utilizando. Un ciudadano de la UE puede transferir sus datos personales de una compañía a otra si lo solicita en un formato legible por máquinas. Además, las compañías dejarán de tratar y/o eliminarán datos personales a petición de un ciudadano de la UE. Este requisito va un paso más allá: permitiendo a los ciudadanos de la UE el derecho al olvido mediante una solicitud de eliminación de sus datos personales. Estos son los principales procesos COBIT que se deben considerar: EDM05 Asegurar la Transparencia hacia las Partes Interesadas •
•
APO01 Gestionar el Marco de Gestión de TI
•
APO08 Gestionar las Relaciones Rel aciones
•
APO09 Gestionar los Acuerdos Acuerd os de Servicio
•
APO10 Gestionar los Proveedores
•
BAI08 Gestionar el Conocimiento
•
•
•
EDM01 Asegurar el Establecimiento y el Mantenimiento del Marco de Gobierno APO07 Gestionar los Recursos Humanos H umanos BAI05 Gestionar la Introducción de Cambios Organizativos
Notificación de las Violaciones de la Seguridad de Datos Personales Las empresas (más concretamente, los responsables de tratamiento) están obligados a notificar a las autoridades de protección de datos en un plazo de 72 horas a partir de la detección de una quiebra de seguridad. Los encargados del tratamiento descubren, comúnmente, los incumplimientos y son responsables de notificar al responsable del tratamiento. Muchas organizaciones ya han establecido estos procedimientos, pero son pocas las que llevan a cabo pruebas para garantizar el cumplimiento con los estándares. Estos son los principales procesos COBIT que se deben considerar: DSS01 Gestionar las Operaciones •
•
DSS02 Gestionar las Peticiones y los Incidentes del Servicio
•
DSS03 Gestionar los Problemas
•
DSS04 Gestionar la Continuidad
•
DSS05 Gestionar los Servicios de Seguridad
•
DSS06 Gestionar los Controles de los Procesos de Negocio
Garantizar el Cumplimiento Regulatorio Para garantizar el cumplimiento adecuado de la legislación, las organizaciones necesitan monitorizar, evaluar y valorar constantemente sus controles, e investigar continuamente mejoras en términos de tecnologías e ideas innovadoras. Las organizaciones deben facilitar garantías de que están siguiendo los requisitos establecidos. Estos son los principales procesos COBIT que se deben considerar: APO04 Gestionar la Innovación •
Nombramiento de Delegados de Protección de Datos Algunas compañías deben de ben nombrar a un delegado de protección de datos (DPD), que supervisa la estrategia de seguridad de datos de la compañía y el cumplimiento general con el RGPD. ¿Qué empresas deben tener un DPD? El requisito se aplica a aquellas que tratan o almacenan grandes cantidades de datos de ciudadanos de la UE, tratan o almacenan datos personales, monitorizan regularmente a interesados o son autoridades públicas. Estos son los principales procesos COBIT que se deben considerar:
•
APO05 Gestionar el Portafolio Portafo lio
•
APO06 Gestionar el Presupuesto Presup uesto y los Costes
•
•
•
MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la Conformidad MEA02 Supervisar, Evaluar y Valorar el Sistema de Control Interno MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requisitos Externos
Adopción del RGPD Utilizando COBIT ® 5 // 8
Los lectores que hayan realizado un seguimiento podrán haberse dado cuenta de que los 37 procesos del modelo de referencia de procesos de COBIT 5 pueden conectarse con un programa RGPD. Cierto es que algunas de estas conexiones son muy fuertes y otras mínimas, pero el mensaje es claro: Adoptar un marco de GEIT, GEIT, como COBIT 5, puede mejorar drásticamente la postura de una empresa
hacia el cumplimiento del RGPD, así como con la mayoría de los requisitos regulatorios que existen en el mercado hoy en día. Los 37 procesos son solo uno de los siete catalizadores, y comprender las conexiones entre estos catalizadores proporciona una imagen clara de las necesidades de las partes interesadas, así como de las prácticas precisas para satisfacer esas necesidades.
Consejos y aprendizajes clave para la implementación del RGPD Para aliviar los esfuerzos de alcanzar el cumplimiento, se presentan a continuación una serie de consejos de implementación. Sobre la base de las observaciones y recomendaciones de diversas entidades que ya han iniciado el camino hacia el cumplimiento del RGPD, a continuación se presenta una lista de factores clave de éxito que se deben considerar en el viaje hacia el cumplimiento: 1. Desarrollar un sentido de urgencia. No es de extrañar que éste sea el primero de la lista. La obtención de apoyo a nivel ejecutivo es clave en este sentido, ya que ese apoyo impulsa las actitudes y expectativas necesarias para adoptar con éxito las buenas prácticas de gobierno para aplicar y cumplir con el RGPD. Consejo: Lea COBIT 5: Implementación para obtener más consejos y técnicas sobre cómo conseguir el apoyo del nivel ejecutivo y que se reconozca la necesidad de actuar.
2. Pensar en el RGPD como una oportunidad. A pesar de que conseguir y mantener el cumplimiento parece laborioso, es claramente el enfoque correcto. Recuerde que la razón por la que existe la empresa es para crear valor para las partes interesadas, y el RGPD bien aplicado es un importante contribuyente de valor agregado. Consejo: La cascada de metas de COBIT 5 identifica las necesidades de las partes interesadas que derivan en las metas empresariales, en las metas relacionadas con TI y en las metas de los catalizadores con el fin de ayudar a determinar los procesos más apropiados sobre los que enfocar para aumentar el valor de las partes interesadas.
3. Obtener un inventario de los marcos y prácticas actuales de gobierno de la empresa, incluyendo el plan de protección de datos. La mayoría de las empresas ya cuentan con un plan en curso, pero deberán revisarlo y actualizarlo para asegurarse de que se ajuste a los requisitos del RGPD. Consejo: El RGPD es una preocupación regulatoria que puede satisfacerse adoptando las mejores prácticas existentes, tales como COBIT, ITIL, el marco de The Open Group Architecture Forum (TOGAF), las publicaciones del Instituto Nacional de Normas y Tecnología de EE.UU. (NIST), las normas de la
Organización Internacional de Normalización (ISO), y muchas otras.
4. Considerar COBIT 5 como un marco para gestionar marcos, pero no detenerse con un único marco. Esta es una extensión del consejo anterior. Aunque es el único marco empresarial para GEIT GEIT,, COBIT no es el único marco disponible. Sin embargo, es adecuado para servir como un marco central que ayuda a determinar los componentes necesarios de otros marcos para proporcionar un verdadero modelo GEIT. Consejo: El sitio web de COBIT en Internet tiene información adicional sobre este enfoque en https://cobitonline.isaca.org/ https://cobitonline.isaca.org/ about.
5. Designar ahora un DPD y otros roles aplicables. Incluso en empresas que no se ven afectadas por el RGPD, siguen siendo buenos roles que identificar y asignar. Es posible que estos roles ya se estén realizando en este momento aunque bajo diferentes d iferentes denominaciones. Consejo: COBIT 5: Procesos Catalizadores identifica las matrices RACI para los 37 procesos.
6. Llevar a cabo una evaluación del riesgo empresarial para ayudar en la toma de decisiones. Es importante conocer cuales son los datos de ciudadanos de la UE que la empresa almacena y trata, así como cualquier riesgo asociado. Las evaluaciones de riesgos pueden ayudar a identificar el riesgo, determinar medidas para mitigarlo y desarrollar planes de acción para gestionarlo. Consejo: COBIT 5 para Riesgos y la ISO 31000 son excelentes puntos de partida para determinar un proceso ap ropiado de evaluación de riesgos y al vincularlo a los requisitos del RGPD.
7. Desplegar un amplio programa de concienciación y capacitación. Todos T odos los miembros de la organización organización deben estar familiarizados familiarizados con los requisitos del RGPD, así como con sus roles específicos. La capacitación es probablemente una de las acciones más importantes que una empresa puede adoptar para aumentar la probabilidad de éxito de un programa. Adopción del RGPD Utilizando COBIT ® 5 // 9
Consejo: En las empresas que están aprovechando COBIT como ayuda para sus esfuerzos de cumplimiento, el curso de Fundamentos de COBIT 5 es un buen punto de partida.
8. Planificar y ensayar los planes de respuesta a incidentes. La mayoría de las organizaciones ya cuentan con algún tipo de plan de respuesta a incidentes; sin embargo, el RGPD tiene algunos requisitos que podrían no haberse considerado. Las empresas deben notificar las quiebras de seguridad dentro de las 72 horas posteriores a su descubrimiento. Cuan bien reaccionen los equipos de respuesta impactará directamente al riesgo de la empresa a afrontar multas por incumplimiento. Consejo: Mejore los procedimientos de respuesta a incidentes actuales analizando los procesos COBIT e ITIL aplicables, y creando luego un modelo específico para el RGPD.
9. Enfocarse en la información. Recuerde que la información es un activo, un recurso, y si no se protege, un riesgo legal. La comprensión de los atributos, la ubicación y el ciclo de vida de los datos puede mejorar la capacidad de la empresa para proporcionar las protecciones necesarias bajo el RGPD. Consejo: COBIT 5: Información Catalizadora puede ayudar a entender estos ciclos de vida y atributos.
10. Realizar la evaluación y el aseguramiento continuos. Mantener el cumplimiento requiere la monitorización y la mejora continuas. Es importante que la empresa no deje que sus esfuerzos se desvanezcan a medida que se traslada a la próxima iniciativa, de lo contrario, pueden ocurrir sorpresas desagradables. Mantenga el impulso. Consejo: Utilice el modelo de implementación de COBIT o el enfoque de Mejora Continua del Servicio (CSI) de ITIL, y asegúrese de que la función de aseguramiento/auditoría interna esté involucrada.
En resumen, las organizaciones que se enfocan únicamente en el cumplimiento no cuentan con un marco de gobierno holístico en vigor. El cumplimiento con los requisitos del RGPD debe ser un componente de conformidad de una iniciativa más amplia de riesgo/beneficio que equilibre dicha conformidad con el desempeño de la empresa. El marco COBIT 5, si bien es completo en la cobertura de gobierno empresarial, no satisface todas las necesidades de cumplimiento que tiene una empresa, pero sin duda puede proporcionar el marco de gobierno y gestión para ayudar a determinar el enfoque más adecuado para crear valor y confianza para las partes interesadas. En este caso, se trata de asegurar que los datos personales tengan la confidencialidad, integridad y disponibilidad basadas en la legislación RGPD.
Adopción del RGPD Utilizando COBIT ® 5 // 10
3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 Correo electrónico:
[email protected] Sitio web: www.isaca.org Envíe sus comentarios a: www.isaca.org/GDPRusingCOBIT5
ISACA ® ISACA isaca.org (isaca.org) ayuda a profesionales de todo el mundo a liderar, adaptar y garantizar la confianza en un mundo digital en evolución, ofreciéndoles conocimientos innovadores de primera clase, estándares, relaciones personales, acreditaciones y desarrollo profesional. Establecida en 1969, ISACA es una asociación global sin ánimo de lucro con 140.000 profesionales en 180 países. ISACA también ofrece el Cybersecurity Nexus™ (CSX), un recurso holístico de ciberseguridad, y COBIT ®, un marco de negocio para el gobierno y la gestión de las TI de la empresa.
Participe en el Centro de Conocimientos de ISACA: www.isaca.org/knowledge-center
Siga a ISACA en Twitter: Twitter: https://twitter.com/ISACANe https://twitter .com/ISACANews ws
Únase a ISACA en LinkedIn: ISACA (Oficial), http://linkd.in/ISACAOfficial http://linkd.in /ISACAOfficial
Dé un Me gusta a ISACA en Facebook: www.facebook.com/ISACAHQ
Exclusión de Responsabilidad Este es un recurso educativo, y no incluye toda la información necesaria para garantizar un resultado exitoso. Los lectores deben aplicar su propio juicio profesional a su situación particular.
Reserva de Derechos © 2017 ISACA. Todos los derechos reservados.
Adopción del RGPD Utilizando COBIT ® 5 // 11
AGRADECIMIENTOS ISACA desea reconocer a las siguientes personas:
Autor
Consejo Directivo de ISACA
Mark Thomas
Theresa Grafenstine
CRISC, CGEIT, Escoute Consulting, EE.UU.
CISA, CGEIT, CRISC, CGAP, CGMA, CIA, CISSP, CPA, Cámara de Representantes de los Estados Unidos, EE.UU., Presidente
Revisores Expertos Sue Milton
CISA, CGEIT, Asesora Comercial GEIT, Reino Unido Peter Tessin
CISA, CRISC, CGEIT, ISACA, EE.UU.
5, CIA, CRMA, EGIT | Enterprise Governance of IT (Pty) Ltd, Sudáfrica, Director Christos K. Dimitriadis, Ph.D.
CISA, CRISC, CISM, Intralot, S.A., Grecia, Expresidente Robert E Stroud
CISM, Clyde Consulting LLC, EE.UU., Vicepresidente
CRISC, CGEIT, Forrester Research, Inc., EE.UU., Expresidente
Brennan Baybeck
Tony Hayes
Robert Clyde
CISA, CRISC, CISM, CISSP CISSP,, Oracle Corporation, EE.UU., Director
CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de Queensland, Australia, Expresidente
Zubin Chagpar
Matt Loeb
CISA, CISM, PMP, PMP, Amazon Web Services, Reino Unido, Director
CGEIT, FASAE, CAE, ISACA, EE.UU., Director
Peter Christiaans
CISA, CRISC, CISM, PMP, Deloitte Consulting LLP, EE.UU., Director Hironori Goto
CISA, CRISC, CISM, CGEIT, ABCP, Five-I, LLC, Japón, Director Mike Hughes
CISA, CRISC, CGEIT, Haines Watts, Reino Unido, Director Leonard Ong
CISA, CRISC, CISM, CGEIT, CPP, CFE, PMP, CIPM, CIPT, CISSP ISSMP-ISSAP, CSSLP, CITBCM, GCIA, GCIH, GSNA, GCFA, Merck & Co., Inc., Singapur, Director R.V. Raghu
CISA, CRISC, Versatilist Consulting India Pvt. Ltd., India, Director Jo Stewart-Rattray
CISA, CRISC, CISM, CGEIT, FACS CP, BRM Holdich, Australia, Director Ted Wolff
CISA, Vanguard, Inc., EE.UU., Director Tichaona Zororo
CISA, CRISC, CISM, CGEIT, Evaluador Certificado de COBIT
Adopción del RGPD Utilizando COBIT ® 5 // 12